최신 보안 동향

신년 인사와 관련하여 스팸메일을 통한 악성파일 유포 사례

TACHYON & ISARC 2010. 12. 31. 12:32
1. 개 요


2010년 12월 30일경 신년 인사와 관련하여 스팸 메일을 통한 악성파일 유포 사례가 해외 전문 보안 업체의 블로그를 통하여 보고되었다. 해당 악성파일은 "Adobe Flash Player" 의 정상 설치파일인 것처럼 위장되어져 유포되어지고 있으며, 신년을 맞이하여 이와 관련한 보안 이슈가 빈번하게 발생할 수 있는 만큼 출처가 불분명한 이메일 열람에 있어 사용자들의 각별한 주의가 필요할 것으로 보이고 있다.




2. 유포 및 감염 과정

아래의 그림과 같이 해당 이메일 내부에는 "Your version of Flash Player is out of date. Please download this update."  라는 내용의 이미지가 포함되어져 있으며, 사용자가 해당 이미지를 클릭하게 될 경우 실제 악성파일이 다운로드 되어진다.

출처 : http://community.websense.com/blogs/securitylabs/archive/2010/12/30/new-year-themed-malicious-emails-in-the-prowl.aspx


또한, 다운로드 되어진 해당 악성 파일은 Adobe Flash Player의 정상 설치 파일인 것처럼 파일명이 교묘하게 위장되어진 상태이다.


3. 감염 증상

다운로드된 install_flash_player.exe 파일이 실행되면 아래와 같은 경로에 특정 파일을 생성하게 된다.

[생성파일]

(사용자 계정 폴더)\C:\Documents and Settings\Administrator\Application Data\Akoqvo\ucogn.exe

[참고사항]
- (사용자 계정 폴더)란 일반적으로 C:\Document and Settings\(사용자 계정)\Application Data 이다.

또한, 아래와 같은 레지스트리 값을 등록하여 윈도우 시작 시 재감염, 윈도우 방화벽 우회 등의 증상을 유발한다.

◆ 윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 등록

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

- 값 이름 : "해당 CLSID 값"
- 값 데이터 : "C:\Documents and Settings\Administrator\Application Data\Akoqvo\ucogn.exe"

◆ 윈도우 방화벽 우회를 위한 레지스트리 값 등록

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List]

- 값 이름 : "(윈도우 파일)\INDOWS\explorer.exe"
- 값 데이터 :  "(윈도우 파일)\explorer.exe:*:Enabled:Windows Explorer"

[ 참고사항 ]

- (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다.

4. 예방 조치 방법

신년 인사와 같은 메시지가 포함되어진 이메일에 첨부되어진 파일이나, 특정 URL 주소가 포함되어진 링크 등이 있을 경우 각별한 주의가 필요하다. 이번에 보고된 악성파일은 nProtect Anti-Virus 제품군에서 진단 치료 기능을 제공하고 있으며, 잉카인터넷 대응팀에서는 지속적으로 연말 연시를 겨냥한 보안위협으로 부터 상시 대응체계를 유지하고 있다.

※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면